Biura rachunkowe w głównej mierze rejestrują dane osobowe otrzymywane od klientów. Posiadają one też własne zbiory danych, które obejmują np. dane klientów, czy zbiory prowadzone w celach marketingowych co pociąga za sobą szereg nowych obowiązków.
Powołanie osoby na stanowisko Administratora Bezpieczeństwa Informacji (ABI) jest prawem, ale nie obowiązkiem. W przypadku kiedy firma się na to zdecyduje, to w okresie 3 dni ma czas na zgłoszenie ABI do specjalnego rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
Należy pamiętać, że administratorem bezpieczeństwa informacji może być osoba, która:
1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
3) nie była karana za umyślne przestępstwo.
Biorąc pod uwagę biuro rachunkowe, aby mogło ono pełnić czynności na zlecenie klienta, musi dokonywać wielu operacji na danych osobowych klienta np. danych pracowników itp. Przetwarzanie przez biuro rachunkowe powierzonych przez klienta danych powinno więc być potwierdzone w formie pisemnej. Wymóg ten jest zapisany w art. 31 ustawy o ochronie danych osobowych. Określone muszą być także postanowienia odnoszące się do zakresu danych a dokładnie rodzaju i celu przetwarzania danych, do jakiego celu są przeznaczone.
W przypadku ewentualnej kontroli, GIODO może sprawdzić czy taka umowa została zawarta. Może ona stanowić zapis w umowie z klientem, który reguluje powierzenie mu przetwarzania danych.
Jakie są obowiązki biura rachunkowego?
Biuro rachunkowe odnośnie powierzonych mu danych osobowych przez klienta, nie ma obowiązku zgłaszania ich do rejestracji w bazie GIODO, ponieważ nie jest administratorem tych danych. Jednocześnie w związku z otrzymaniem tych danych nie oznacza to, że biuro nie ma już żadnych obowiązków.
Dane powierzone biuru, muszą być przetwarzane zgodnie z ”umową powierzenia przetwarzania danych” co skutkuje, że nie ma prawa wykorzystywać ich do innych celów niż wskazane w umowie. Jest także zobowiązana do zabezpieczenia danych jak i prowadzenia dokumentacji. Biuro musi także zastosować środki zabezpieczające dane przed rozpoczęciem ich przetwarzania. Wymienione i opisane są one w art. 36-39 ustawy o ochronie danych osobowych. Podmiot w szczególności jest zobowiązany do sporządzania dokumentacji, która opisuje w jaki sposób są przetwarzane dane a także jakie środki techniczne oraz organizacyjne zostały zastosowane dla ich ochrony:
• Instrukcja zarządzania systemem informatycznym,
• polityka bezpieczeństwa.
Podmiot ma także obowiązek wyznaczenia odpowiedniej osoby do przetwarzania danych – musi ona posiadać upoważnienie, które jest nadane przez administratora danych i prowadzenia ewidencji osób upoważnionych do przetwarzania danych.
Należy także zwrócić uwagę, że biuro rachunkowe powinno także spełniać wymogi Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. nr 100, poz. 1024).
Aktualnie Centrum Szkoleniowe FRR organizuje szkolenie „NOWE OBOWIĄZKI BIUR RACHUNKOWYCH W KONTEKŚCIE ZNOWELIZOWANYCH PRZEPISÓW DOTYCZĄCYCH GIODO, GIIF ORAZ PODATKOWYCH” w Warszawie i w Katowicach. Na szkolenie zapraszamy wszystkich tych, którzy chcą dowiedzieć się jak wdrożyć odpowiednie procedury oraz chcą nabyć umiejętności stosowania w praktyce postanowień ustaw oraz rozporządzenia w sprawie kas fiskalnych, rozpoznania transakcji podejrzanych oraz danych osobowych, które podlegających rejestracji.
Menu
Menu
